Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutzbeauftragter

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein zertifizierter externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Fallstricke bei der Auskunft nach Art. 15 DS-GVO

28. April 2019

Die DS-GVO definiert in den Artikeln 7 Abs. 3, 15 bis 18, 20, 21 und 77 zahlreiche Rechte für die betroffenen Personen. Einen großen Teil dieser Rechte gab es zumindest in ähnlicher Form bereits unter dem Regime des alten BDSG. Allerdings waren diese weiten Teilen der betroffenen Personen völlig unbekannt. Durch die in der DS-GVO geregelten, sehr umfangreichen Informationspflichten haben nun auch die Betroffenenrechte einen deutlich höheren Bekanntheitsgrad erlangt.

So hat sich die Zahl der bei den für die Verarbeitung Verantwortlichen eingehenden Anfragen betroffener Personen seit Mai 2018 vervielfacht. Mit steigender Anzahl von Anfragen steigt allerdings auch die Gefahr, bei der Erfüllung dieser Betroffenenrechte Fehler zu machen.

Die Auskunft nach Art. 15 DS-GVO

Wir möchten in diesem Artikel einmal auf das vermutlich am häufigsten geltend gemachte Betroffenenrecht eingehen: Das Recht auf Auskunft, welches in Art. 15 DS-GVO geregelt ist. Spricht man mit den Verantwortlichen, merkt man schnell, dass eine gewisse Sensibilität vorhanden ist. Insbesondere ist ein enormer Respekt vor dem in Art. 83 Abs. 5 lit. b DS-GVO festgelegten möglichen Bußgeldrahmen von bis zu 20 Millionen Euro (oder 4% des weltweiten Jahresumsatzes, je nachdem, was höher ist) zu spüren. Dieser Bußgeldrahmen bezieht sich übrigens nicht nur auf die Erfüllung der Betroffenenrechte, sondern auch auf die in den Artt. 13 und 14 DS-GVO definierten Informationspflichten.

Die Datenkopie kennt nahezu jeder

Den allgemein bekannten Teil des Art. 15 DS-GVO möchten wir daher nur aus Gründen der Vollständigkeit erwähnen: Es muss darüber informiert werden, ob überhaupt Daten vorliegen (Art. 15 Abs. 1 Satz 1 DS-GVO). Sofern diese Frage mit „Ja“ beantwortet werden kann, muss auch eine Datenkopie geliefert werden (Art. 15 Abs. 3 DS-GVO). Auf die Form der Erteilung der Auskunft sind wir in diesem Artikel in Teilen eingegangen.

Bis hierhin nichts Neues und nichts Besonderes. Weniger bekannt ist die Tatsache, dass in diesem Rahmen auch (Art. 15 Abs. 1 lit. a DS-GVO) über die Verarbeitungszwecke, über die Empfänger der Daten inkl. Garantien bei Drittstaaten-Übermittlungen (Art. 15 Abs. 1 lit. c DS-GVO), sowie über die Speicherdauer der Daten (Art. 15 Abs. 1 lit. d DS-GVO) informiert werden muss.

Über Rechte muss auch informiert werden

Nahezu völlig unbekannt scheint jedoch zu sein, dass auch über die Betroffenenrechte (Art. 15 Abs. 1 lit. e und f DS-GVO) informiert werden muss. Hier muss über das Bestehen sämtlicher Rechte außer dem Auskunftsrecht selbst sowie der Datenportabilität informiert werden. Darüber hinaus muss gegebenenfalls über das Bestehen einer automatisierten Einzelfallentscheidung inkl. Profiling informiert werden.

Und über die Herkunft auch

Sofern Daten nicht bei der betroffenen Person erhoben wurden, muss darüber hinaus auch über deren Herkunft informiert werden. Diese Anforderung führt dazu, dass gegebenenfalls auf Datenfeld-Ebene die Quelle der Daten zu speichern ist.

Insbesondere die Information über die Betroffenenrechte und die Datenherkunft werden häufig vergessen. Damit besteht für die Verantwortlichen ein Bußgeldrisiko, sofern diese Fehler bei der Auskunft beispielsweise im Rahmen einer Prüfung durch die Aufsicht auffallen.

Ein bisschen wie Artt. 13 und 14 DS-GVO

Betrachtet man die Anforderungen an die Auskunft, welche über die Datenkopie hinausgehen, zeigt sich schnell, dass diese Anforderungen denen der Artt. 13 und 14 DS-GVO sehr ähnlich sind. Problematisch könnte die Erteilung der Information zur Datenherkunft sein, da diese Daten insbesondere für die Zeit vor Anwendbarkeit der DS-GVO häufig nicht nachvollziehbar sind. Zum Zeitpunkt der Erhebung kann zwar üblicherweise die Information nach Art. 14 DS-GVO erbracht werden. Da aber die wenigsten Systeme im Zuge der DS-GVO-Einführung so erweitert wurden, dass die Datenherkunft dauerhaft mit den Daten gespeichert wird, ist eine spätere Beauskunftung hier häufig nicht mehr möglich.

Diesbezüglich besteht vermutlich hinsichtlich der bei den Verantwortlichen im Einsatz befindlichen Systemen noch ein nicht zu unterschätzender Anpassungsbedarf. Wir empfehlen die Erfüllung der Betroffenenrechte (nicht nur der Auskunft, sondern aller Rechte) zukünftig als Anforderung bereits bei Auswahl von neuen Systemen als K.O. Kriterium zu berücksichtigen.

Benötigen Sie Unterstützung bei der Erfüllung von Betroffenenrechten? Stehen Sie vor der Auswahl neuer Systeme? Sprechen Sie uns an, wir unterstützen auch in Ihren Projekten!